Thị trường crypto vừa ghi nhận một vụ mất tiền gây chấn động khi khoảng 24 triệu USD stablecoin bị rút khỏi ví liên quan đến KOL crypto Sillytuna. Nguyên nhân không phải do hack phức tạp mà đến từ chiêu lừa phổ biến trong DeFi: “address poisoning” (đầu độc địa chỉ).

Theo phân tích từ công ty bảo mật blockchain PeckShield, nạn nhân đã chuyển nhầm khoảng 24 triệu USD aEthUSDC sang địa chỉ ví của kẻ tấn công sau khi copy nhầm địa chỉ từ lịch sử giao dịch.

Thủ đoạn của hacker khá đơn giản: tạo một địa chỉ ví có chuỗi ký tự đầu và cuối gần giống địa chỉ thật, sau đó gửi các giao dịch nhỏ để địa chỉ giả xuất hiện trong lịch sử giao dịch của nạn nhân. Khi người dùng copy nhanh địa chỉ từ danh sách này, tiền sẽ bị gửi thẳng vào ví của hacker.

Dữ liệu on-chain cho thấy kẻ tấn công chưa rửa tiền ngay lập tức. Khoảng 20 triệu USD DAI vẫn đang nằm trong hai ví trung gian, trong khi một phần nhỏ đã được bridge sang mạng Arbitrum, dấu hiệu cho thấy hacker có thể đang chuẩn bị phân tán tài sản qua nhiều giao thức DeFi để xóa dấu vết.

Nạn nhân hiện treo thưởng 10% số tiền thu hồi được cho bất kỳ cá nhân hoặc tổ chức nào giúp truy vết và lấy lại tài sản.

Các chuyên gia bảo mật cảnh báo address poisoning đang gia tăng nhanh trong vài năm gần đây vì chi phí tấn công thấp nhưng hiệu quả cao. Người dùng được khuyến nghị không copy địa chỉ ví từ lịch sử giao dịch, luôn kiểm tra toàn bộ địa chỉ trước khi chuyển tiền và sử dụng whitelist address khi thực hiện giao dịch lớn.